PT-2014-2162 · Django · Django Tastypie+1

Publicado

2014-10-27

Atualizado

2018-07-23

CVE-2011-4103

CVSS v4.0

9.3

Crítica

Vetor

AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Name of the Vulnerable Software and Affected Versions Django Piston versions prior to 0.2.3 Django Piston versions 0.2.x prior to 0.2.2.1

Description The issue is related to the improper deserialization of YAML data in the emitters.py file, which allows remote attackers to execute arbitrary Python code via vectors related to the yaml.load method. A similar vulnerability exists in Django Tastypie.

Recommendations For Django Piston versions prior to 0.2.3, update to version 0.2.3 or later. For Django Piston versions 0.2.x prior to 0.2.2.1, update to version 0.2.2.1 or later.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

CVE-2011-4103

DSA-2344-1

GHSA-PVHP-V9QP-XF5R

PYSEC-2014-24

Produtos afetados

Django Piston

Django Tastypie

PT-2014-2162 · Django · Django Tastypie+1

CVE-2011-4103

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 11